Bu Help Net Security röportajında HUMAN Security’nin CISO’su Gavin Reid, en son siber güvenlik tehditlerinden ve saldırganların nasıl daha karmaşık hale geldiğinden bahsediyor. Kuruluşların, kullanıcı deneyimini sağlam tutarken sahtekarlığı ve kötü amaçlı botları tespit etmede karşılaştığı zorlukları açıklıyor.
Reid ayrıca CISO’lara güvenlik ve iş inovasyonu arasında nasıl bir denge kurulacağı konusunda tavsiyeler sunuyor.
Bir CISO olarak sizi geceleri uykusuz bırakan yeni ortaya çıkan tehditler nelerdir?
Kötü niyetli davranışların kökünü kazıma ve durdurma konusunda daha becerikli hale geldikçe, tehdit aktörleri yeteneklerini gizlemenin veya sürdürmenin yeni, daha etkili yollarını buluyor. Aynı zamanda, kullandığımız sistemler giderek daha karmaşık ve entegre hale geliyor, bu da saldırı yüzeylerini büyütüyor ve konfigürasyonların kilitlenmesini zorlaştırıyor. Bu durum yeraltındaki suçların artmasına ve bireylerin ve kuruluşların kendilerini koruma ihtiyaçlarına yol açtı.
Örneğin, bu yılın başlarında, Google Play Store’da bulunan ve kullanıcı cihazlarını bilgisi olmadan proxy düğümlerine dönüştüren bir VPN uygulamaları kümesi tespit ettik. Saldırganlar ayrıca hesap ele geçirme (ATO) saldırıları, işlemin kötüye kullanılması, programatik reklam dolandırıcılığı ve web kazıma dahil olmak üzere çeşitli türde saldırılar gerçekleştirmek için yerleşik proxy’lerin arkasına saklanıyor ve bu da onların tespit edilmesini ve engellenmesini zorlaştırıyor.
Yapay zeka ve otomasyonun siber dolandırıcılığın verimliliğini, etkinliğini ve erişimini artırması nedeniyle tehdit operasyonlarının artan ölçeği de benim için endişe kaynağı. Bağlamda, kısa süre önce kesintiye uğrayan Phish ‘n’ Ships küresel dolandırıcılık operasyonu, yüz binlerce tüketicinin ödeme bilgilerine kimlik avı yaparak ve onlara sahte ürünler satarak on milyonlarca dolar çaldı. Bunu, Felemenkçe, İngilizce, Fransızca ve Almanca dillerinde 121 sahte web mağazasına yönlendirilen sahte ürün bağlantıları oluşturmak için 1.000’den fazla web sitesine virüs bulaştırarak başardılar. Bu kampanyanın tüm aşamaları botlar tarafından gerçekleştirildi.
İnsan etkileşimlerini bot güdümlü veya dolandırıcılık faaliyetlerinden ayıran kuruluşların en önemli zorlukları nelerdir?
Tüm botlar kötü değildir – Bazı botlar iyidir ve sohbet robotları, arama motoru web tarayıcıları veya web sitesi performansını test eden ve izleyen botlar aracılığıyla kullanıcı yolculuğunu geliştirir. Ne yazık ki botların çoğunluğu iş amacıyla kötüye kullanılıyor ve bir şirketin web sitesine gelen trafiğin %50’sinden fazlasını oluşturabilirler.
İkisi arasında ayrım yapma ihtiyacı, web sitesi sahiplerinin, kullanıcı deneyimini geliştiren iyi botları engellemeden kötü botları doğru bir şekilde tespit etmesini ve azaltmasını karmaşık bir mesele haline getiriyor.
Bot tespiti, kötü amaçlı etki alanlarından kaynaklanan istekler ve sergilenen davranış kalıpları da dahil olmak üzere, kötü botların işaretlerini tanıyarak çalışır. Normal insan web etkinliğine ilişkin bir temel oluşturmak ve gelen trafiğin anormal davranışlarını tanımak, etkili bot tespitinin temelini oluşturur.
Kötü amaçlı botların bazı temel özellikleri arasında büyük hacimli sayfaları hızlı bir şekilde görüntüleme, normalden çok daha kısa veya çok daha uzun oturumlar, standart kullanıcı erişim kalıplarını takip etmeden doğrudan dahili HTML sayfalarına atlama, insan davranışını kusurlu bir şekilde modelleyen trafik, kalıcı trafik yer alır. uzun süreler boyunca ve oturum açma hatalarında, parola sıfırlamalarında, başarısız işlemlerde veya yeni hesap oluşturmada ani artışlar gibi olağandışı müşteri etkinlikleri.
Gerçek olmayan dijital faaliyetlere karşı en savunmasız temel endüstriler veya sektörler hangileridir?
Kullanıcıların parasını yönetmeye odaklanan işletmeler için, finans sektöründe hesap ele geçirme ve kartlama saldırılarının yaygın olması şaşırtıcı değildir. Bu gibi durumlarda siber suçlular hesaplara sızmaya ve ödemeler sayfasındaki bilgileri çalmaya çalışır. Bu nedenle finans sektörü, tamamen kapsamlı ve iyi finanse edilen bir güvenlik programı sağlamak için siber güvenlik protokollerini ve araçlarını ilk benimseyenlerden biri olurken, seyahat ve konaklama endüstrileri henüz aynı yönde ilerlemedi.
Üç ayda bir gerçekleşen on trilyonlarca işlem ve yüz milyarlarca dolarlık tüketici harcamasıyla perakendenin en çok hedeflenen sektör olması da sürpriz olmamalı. Platformumuzda, büyük satışlar ve Noel, Siber Pazartesi ve Kara Cuma gibi satın alma etkinliğinin önemli ölçüde arttığı tatiller gibi belirli gün ve etkinliklere bağlı bot etkinliklerinde ani artışlar görebiliyoruz.
Akış ve medyada, kullanıcıları ön ödeme yapmadan hizmetlere katılmaya teşvik etmek için ücretsiz denemelerin hâlâ yaygın olduğunu görüyoruz; bu da sahte hesap oluşturma için uygun bir ortam yaratıyor ve sonuçta hiçbir zaman faturayı ödemiyor. Medya ve yayın endüstrileri için artan bir diğer tehdit de, botlarla toplanan istihbaratın yapay zeka çağında giderek daha büyük riskler oluşturması nedeniyle içeriğin kazınması.
CISO’lar dolandırıcılık tespit ve önleme çözümlerinin etkinliğini değerlendirmek için hangi KPI’ları kullanmalıdır?
- Algılama etkinliği: Platform veya araç bilinen olayları tespit etmekte ne kadar başarılıydı?
- Kullanıcı etkisi: Platform veya araç, gerçek kullanıcılar için kullanıcı sıkıntısını nasıl azalttı?
- Bot/yanlış etki: Platform veya araç, kötü botlara yönelik sürtünmeyi engellemede veya uygulamaya koymada ne kadar başarılıydı?
- Bağlam kullanışlılığı: Bir etkinliği başarılı bir şekilde anlamak için platform veya araç ne sıklıkla kullanıldı?
Uyumluluk ile güvenlik inovasyonunu dengelemek isteyen büyük kuruluşlara ne gibi tavsiyelerde bulunursunuz?
İyi bir CISO dengeli risk kararları verir. Kötü bir CISO, şirketin yenilik yapmasına yardımcı olma yoluna girer. Güçlü güvenlik araçları ve metodolojisinin benimsenmesini zorlayan sektördeki en iyi uygulamalar ile düzenlemelerin birleşimi, şirketleri etkili korumalar oluşturmak için güçlü bir temel oluşturmaya itmektedir.
Ancak CISO’ların, arkalarına maksimum güvenlik önlemleri koymak için hangi varlıkları seçtiklerini dikkatle değerlendirmeleri gerekir. Her şeyin bu kadar yüksek düzeyde güvenliğe ihtiyacı olduğunu iddia ederseniz, kurt gibi ağlayan CISO olursunuz ve kimse size inanmaz.
Bunun yerine CISO’ların iş faktörlerini ve iş için hayati öneme sahip uygulamaları ve veri kaynaklarını tanımlaması ve bu varlıkların korunmasına öncelik vermesi gerekir. Bu, diğer varlıkların daha az korunmasına neden olarak daha fazla risk oluştursa da bu felsefe, CISO’ların etkinlik ile güvenlik arasında denge kurmasını sağlar.